IBM发布警告称,他们近期发现犯罪分子正在发起针对财富500强企业财务人员的网络钓鱼欺诈互动,通过网络欺诈诱导受害者汇款。攻击者通过入侵员工邮箱或身份伪造发起钓鱼,辅以社会工程技巧,频频实施作案。

网络钓鱼威胁增大

攻击者在获取目标的合法凭证之后,会在邮件上下文会话中加入自己的银行账号或其他支付凭证。他们还通过创建邮件过滤器,确保过程中之存在受害者一方。 在某些情况下,他们还伪造了必要的上级审批表格以增获取信任。

IBM表示,犯罪团伙使用的发件人邮箱地址和IP指向尼日利亚。

钓鱼实施过程

他们的目标用户不仅有零售、医疗健康,金融和服务行业,也包括财富 500 强企业。

犯罪团伙同时在被侵入的100多个属于不同国家的网站上创建了DocuSign登录页面。为了收集身份凭证,攻击者向企业用户的内部和外部联系人发送了大规模的网络钓鱼电子邮件。邮件中会包括商业文件的链接,但该链接指向的是伪造的 DocuSign 页面,要求用户进行验证或下载。

网络钓鱼威胁增大

在获取的凭证中,攻击者会筛选出可用的部分,如只需要用户名和密码即可登录的邮箱账号。

“攻击者特别针对企业财务部门人员,潜在企图在于确保访问公司的银行账户。”

随后他们就进入了侦查阶段,攻击者冒充成客户活着合作企业的员工,不断与下一步目标进行接触和邮件交流以建立信任关系。攻击者在此阶段获得了企业组织结果的调查结果,熟悉了邮件流程和上级主管的行动习惯。

下阶段中,攻击者会注册与目标难以区分差别的域名(使用不同顶级域名或细微的拼写差别),建立员工邮箱账号,并用这些员工账号向目标发送邮件。

攻击者发送的邮件中英语的遣词造句水准很高,虽然出现了几个小的语法和口语化问题,但从目标的角度来看“付款”需求是比较急切的。这种微妙的心理氛围也帮助犯罪分子达到数百万美元诈骗的圆满实现。

于此同时,攻击者还会创建电子邮件过滤规则或自动删除用户公司内部的电子邮件,以防止受害者在其收件箱中发现异常消息。 其次,他们还将电子邮件回复自动转发到不同的地址。

避免商业邮件钓鱼的防护方法

网络钓鱼威胁增大

攻击者的伪造和欺诈水平不断提升,普通用户越来越难以识别精心构建的骗局。企业仅仅是对员工进行网络钓鱼威胁的简单培训可能还是不够的,重新审查企业内部流程,弥补关键基础设施的不足,降低网络安全风险还是必须补上的一课。

1. 为用户登录增加两部验证(2FA),减小凭证窃取的安全隐患。

2. 在邮件中提示内部和外部邮箱地址,帮助员工区分伪造的相似的邮箱地址。

3. 在企业外部禁用自动转发邮件的功能,避免被攻击者窃取邮件。

4. 企业财务和金融人员应采纳严密的交易转账培训,能够在紧急支付流程中验证邮件的真实性(如应用数字证书之类)

5. 对客户企业进行身份确认。

*参考来源:securityweek/securityintelligence,Elaine编译,转载请注明FreeBuf.COM